信息來(lái)源:Cnbeta
據(jù)外媒報(bào)道,西班牙巴塞羅那一家名為Prestige Software的軟件公司被發(fā)現(xiàn)暴露了全球數(shù)百萬(wàn)客戶的敏感、隱私和財(cái)務(wù)數(shù)據(jù)。尤其是來(lái)自Booking.com、Expedia、Agoda、Amadeus、Hotels.com、Hotelbeds、Omnibees、Sabre等幾家公司的客戶都是此次數(shù)據(jù)泄露事件的意外受害者。
暴露的數(shù)據(jù)庫(kù)最初是由Website Planet的研究人員發(fā)現(xiàn),Prestige Software擁有的一個(gè)配置錯(cuò)誤的AWS S3 bucket在沒(méi)有任何安全認(rèn)證的情況下被開(kāi)放給公眾訪問(wèn)。研究人員分析了該數(shù)據(jù)庫(kù),并得出結(jié)論稱,它包含了價(jià)值24.4GB的數(shù)據(jù),總計(jì)超過(guò)1000萬(wàn)個(gè)文件。
值得一提的是,Prestige Software為酒店提供了一個(gè)名為Cloud Hospitality的渠道管理平臺(tái),用于處理頂級(jí)預(yù)訂網(wǎng)站上的房間供應(yīng)并實(shí)現(xiàn)自動(dòng)化。在此案中,該軟件公司在沒(méi)有任何安全措施的情況下,存儲(chǔ)了旅行社和酒店客戶的信用卡數(shù)據(jù)。結(jié)果,客戶的個(gè)人和財(cái)務(wù)數(shù)據(jù)早在2013年就被暴露在網(wǎng)上。
根據(jù)Website Planet研究人員Mark Holden編制的報(bào)告,被曝光的數(shù)據(jù)屬于酒店客人,包含以下內(nèi)容:
全名
NIC號(hào)碼
電子郵件地址
電話號(hào)碼
酒店預(yù)訂號(hào)
逗留日期和期限
信用卡號(hào)碼,包括卡主姓名、CVV代碼和卡的到期日。
我們沒(méi)有審查S3 bucket中暴露的所有文件,所以這不是一個(gè)完整的列表。每一個(gè)連接到云酒店的網(wǎng)站和預(yù)訂平臺(tái)可能都受到了影響。這些網(wǎng)站不對(duì)因此而暴露的任何數(shù)據(jù)負(fù)責(zé),Holden在報(bào)告中表示。
由于Prestige軟件公司總部位于歐洲,而暴露的數(shù)據(jù)屬于全球各地的人,包括歐洲公民的公民;該公司應(yīng)該準(zhǔn)備好接受GDPR的巨額罰款和處罰。
至于受影響的客戶,目前還不清楚你的數(shù)據(jù)是否被第三方惡意訪問(wèn)。然而,正如最近所見(jiàn),網(wǎng)絡(luò)犯罪分子一直在掃描暴露的數(shù)據(jù)庫(kù),竊取數(shù)據(jù)并在暗網(wǎng)市場(chǎng)上出售,或在黑客論壇上泄露數(shù)據(jù)供免費(fèi)下載。
幾個(gè)月前曾報(bào)道過(guò)這樣一起案件,4200萬(wàn)伊朗人的個(gè)人資料和電話號(hào)碼被暴露在配置錯(cuò)誤的服務(wù)器上,并在幾天內(nèi)最終在暗網(wǎng)和黑客論壇上出售。
在另一個(gè)案例中,Hackread.com報(bào)道稱,2019年12月,一個(gè)配置錯(cuò)誤的數(shù)據(jù)庫(kù)暴露了2.67億Facebook用戶的個(gè)人信息。2020年4月,同樣的數(shù)據(jù)庫(kù)在一個(gè)黑客論壇上以600美元的價(jià)格出售。